一场高度组织化的供应链攻击通过开发者常用的Visual Studio Code扩展渠道渗透了多家AI与软件开发领域的关键企业。GitHub于2026年5月21日正式确认,其约3800个内部仓库的泄露源自一个被投毒的Nx Console VS Code扩展版本。该扩展本身是TanStack npm供应链攻击的后续产物,整个行动被归因于威胁组织TeamPCP,代号Mini Shai-Hulud。除GitHub外,OpenAI和Mistral AI也被确认为受害者,攻击者主要目标涵盖开发者凭证与内部源代码。
攻击链条深度还原
攻击链始于2026年5月11日。TeamPCP针对JavaScript生态中广泛使用的TanStack路由库发动了隐蔽的供应链投毒,一次性向npm平台推送了170个恶意包,并向PyPI推送了2个恶意包,利用蠕虫式传播机制迅速扩散。该漏洞被分配编号CVE-2026-45321,CVSS评分高达9.6,属于严重级别。在完成对TanStack生态的渗透后,攻击者的目光转向了基于其技术构建的Nx Console VS Code扩展。一名Nx Console开发者的设备被攻陷,攻击者以此身份向Visual Studio Marketplace提交了Nx Console 18.95.0的恶意更新。
恶意版本于2026年5月18日12:30 UTC上线,仅18分钟后于12:48 UTC被移除。但这段窗口已足够造成连锁破坏。扩展在启动时静默触发,执行一条伪装成常规MCP(模型上下文协议)设置任务的shell命令,从一个预先安插在Nx官方GitHub仓库的commit中下载隐藏的恶意包。这个包实现了一个全功能的凭证窃取器,针对开发者常见敏感信息:1Password保险库、Anthropic Claude代码配置、npm令牌、GitHub令牌以及AWS凭证。任何在窗口期内安装该扩展的开发者机器都可能被植入该窃取器。
一名GitHub员工不幸在其开发机器上安装了该恶意扩展。TeamPCP利用从该机器窃取的凭证成功渗透了GitHub的CI/CD管道,逐步深入并最终窃取了约3800个内部仓库的数据。GitHub首席信息安全官Alexis Wales在声明中表示,公司“没有证据表明GitHub内部仓库之外存储的客户信息受到影响”,但承认部分内部仓库包含客户支持互动的片段。Wales承诺,若发现任何客户数据泄露,将立即通知受影响的用户。
其他受害者与安全警示
此次供应链攻击并非仅针对GitHub一家。OpenAI和Mistral AI同样被确认为TeamPCP此次“Mini Shai-Hulud”行动的受害者,三家企业的主要受损资产均为开发者凭证和内部源代码。截至目前,GitHub已启动内部调查并承诺透明度,OpenAI和Mistral AI尚未公开具体受影响范围。
本文参考来源:Notebookcheck
